Les chercheurs en sécurité de Group-IB ont découvert ClickLock, un nouveau malware ciblant macOS pour voler des informations, resté invisible pour l’ensemble des antivirus référencés sur VirusTotal au moment de son analyse. Sa particularité tient à l’absence totale d’exploit technique ou de privilège système élevé : le malware repose entièrement sur l’ingénierie sociale pour contraindre l’utilisateur à saisir lui-même son mot de passe.

ClickLock Malware Mac

Group-IB a identifié ce logiciel malveillant après sa soumission sur VirusTotal le 9 juin et le malware a déjà infecté au moins 100 Mac répartis dans 33 pays depuis le mois de mai. La compromission initiale passe par un leurre de type ClickFix : une fausse fenêtre de vérification humaine imitant Cloudflare incite la victime à exécuter une commande dans le Terminal de macOS, sans qu’aucune faille logicielle ne soit nécessaire.

Une fois la commande exécutée, ClickLock désactive les interruptions du clavier et cache le curseur du Terminal, rendant le système non répondant. Le centre de notifications de macOS disparaît pendant six heures pour éviter de recevoir une quelconque alerte de sécurité. C’est aussi la période durant laquelle deux LaunchAgents distincts (com.authirity.plist et com.chromer.plist) réalisent tout un travail en coulisses. Le premier termine les processus concernés toutes les 210 millisecondes pendant 83 heures, tandis que le second répète l’opération toutes les 200 millisecondes sur une durée de 35 jours, ciblant spécifiquement le stockage sécurisé du trousseau de Google Chrome pour déchiffrer les cookies et les mots de passe. Une fausse fenêtre de dialogue, affichant le nom d’utilisateur réel de la victime et l’icône officielle d’Apple, réclame alors le mot de passe de la session, validé puis exfiltré directement vers Telegram.

Des modules pour piller les données et portefeuilles crypto

Un module de collecte de données cible huit navigateurs (Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc et Chromium), s’attaquant aux identifiants sauvegardés, cookies, données de remplissage automatique, favoris et données de stockage local. Il vise également les portefeuilles de cryptomonnaies, qu’il s’agisse d’extensions de navigateur ou de fichiers sur le bureau, ainsi que le matériel des portefeuilles crypto hors ligne destiné au piratage, les données des gestionnaires de mots de passe et les adresses crypto sur les réseaux EVM, Bitcoin, Solana, TRON, TON et Stacks. Le module récupère aussi les historiques shell, les identifiants FTP de FileZilla, ainsi que les informations système et l’adresse IP publique de la machine.

ClickLock Malware Mac 1

Cliquez pour agrandir

Toutes ces données sont compressées dans des fichiers ZIP, découpés au-delà de 40 Mo, puis exfiltrés via l’API du bot de Telegram, avant que le module ne s’autodétruise.

Une porte dérobée persistante grâce à GSocket

Contrairement aux modules de vol de données qui s’effacent après exécution, une porte dérobée (backdoor) basée sur GSocket, un outil open source modifié, s’installe durablement via LaunchAgent, l’outil crontab et les configuration shell. Cette backdoor établit la technique du reverse shell à travers un relais GSocket, offrant aux attaquants un accès distant permanent au Mac compromis.

Les fichiers malveillants sont hébergés sur des domaines légitimes préalablement compromis, ce qui complique leur détection et explique en partie la fenêtre de repérage particulièrement étroite observée par les chercheurs en sécurité. Group-IB identifie plusieurs signaux révélateurs pouvant alerter les équipes de sécurité, parmi lesquels des appels suspects à osascript (utilitaire qui exécute des AppleScripts), des terminaisons de processus répétées, un accès massif et anormal aux profils de navigateurs ou des connexions sortantes vers l’API de Telegram.